• 使用神经网络doc2vec对7,000多家美国上市公司2007-2023年10-K年度财报中段落进行向量化，并基于MITRE ATT&CK数据库的785个子技术段落建立网络风险得分。通过计算余弦相似度得分，量化企业面临的四大类网络攻击风险（超级战术）：指挥与数据操控、凭证流动、持续性与规避、准备与侦察 [page::1][page::8][page::9][page::15].

- 采用三种聚类方法（K-means, Louvain, 光谱聚类）对MITRE ATT&CK段落向量相似矩阵进行聚类，选取Louvain方法产出四个超级战术聚类，保证聚类的同质性和簇内均衡性，体现网络攻击的实际结构 [page::20][page::21].

• 网络风险各分数在不同行业表现差异明显，技术依赖性较强的行业（如商务设备、电信）显示更高的网络风险得分。风险得分整体呈逐年上升趋势，网络风险相关文本信息丰富度不断增加 [page::23][page::47][page::50][page::59].

• 统计回归显示，网络风险得分与传统财务指标和非语义文本变量相关性低，且不同网络风险分数间差异显著，表明该得分为独立有效的企业网络风险度量指标 [page::24].

- 投资组合构建方法：基于季度网络风险得分对企业进行排序，分为五个组合，间隔大小为20%。风险较高组合（P5）实现显著更高的超额收益率，且在控制CAPM、Fama-French三因子及五因子模型后，最高风险组仍获得正向且统计显著的Alpha收益 [page::25][page::26].
| 组合 | 平均超额收益率(%) | 统计显著性 |
|-------|------------------|------------|
| P1 | 0.82 | 1%显著 |
| P5 | 1.44 | 1%显著 |

• 双变量排序控制市场规模、市值账面比和市场贝塔，网络风险分数依旧表现出单调递增的超额收益趋势，指示网络风险溢价并非其他财务变量的代理 [page::27].

- 跨截面Fama-MacBeth回归显示各网络风险分数均具有正向且多在5%显著水平的风险溢价，惟“网络情绪分数”无明显风险溢价，表明传统财报中的风险信息才被市场认可 [page::28].

• GRS检验与贝叶斯资产定价检验进一步证明，在控制现有五因子模型后，加入网络风险长短组合因子能显著提升定价性能，市场对该因子认可度逐年提升 [page::29][page::30][page::33].

- 网络风险因子间回报差异无统计显著性，且事件研究通过分析2020年SolarWinds事件指出，重大网络攻击对综合风险组合回报无显著影响，支持市场视多种网络风险为单一聚合风险假设 [page::30][page::31][page::34].

• 量化因子构建亮点：结合自然语言处理和监督学习，基于文本余弦相似度构建细分网络风险指标，创新性聚类分析提炼核心网络风险类型，有效捕捉风险与股票回报的联系，适用于大规模证券市场量化定价与投资策略 [page::3][page::10][page::11][page::14][page::15].

- 该研究成果为网络安全风险的资产定价提供了量化工具和实证支持，有助于投资者识别网络风险溢价及相关投资价值，同时为监管机构及企业风险管理提供数据驱动的参考依据。

金融研究报告详尽分析报告

报告标题：Disentangling the sources of cyber risk premia
作者：Loïc Maréchal 与 Nathan Monnet
发布时间：2024年9月16日
主题：网络风险溢价的量化与资产定价影响分析

---

1. 元数据与概览

本报告针对美国上市公司披露文件中的网络风险信息展开量化和资产定价分析，核心目标是识别和区分不同类型的网络威胁风险溢价。作者采用机器学习与自然语言处理（NLP）技术，特别是基于doc2vec的段落向量模型，结合MITRE ATT&CK知识库的网络攻击分类，构建多维网络风险评分体系，并分析其对股票超额收益的解释能力及市场对于网络风险类型的感知方式。核心结论显示，高网络风险评分对应显著超额收益，且市场似乎不区分细分风险类型，而倾向于以一个综合的网络风险因子来定价。报告还提出了网络风险因子对传统风险因子的补充价值。

---

2. 逐节深度解读

2.1 摘要与引言（Abstract与Introduction）

• 核心论点：通过机器学习方法基于企业年报（10-K）文本和MITRE ATT&CK网络风险知识库，模型能够定位与不同网络威胁相关的文本，进而为企业赋予多维网络风险评分。

- 关键发现：网络风险评分与其他企业特征如规模、账面市值比等无关，且股票按网络风险评分排序后，最高风险组股票显著跑赢市场。多因子资产定价模型中，网络风险因子显著存在正风险溢价。此外，市场不细分风险类型，网络风险被视为单一整体。

• 数据范围：覆盖7000多家美国上市公司，2007-2023年。

- 方法工具：doc2vec神经网络，MITRE ATT&CK知识库，聚类算法，资产定价回归、GRS测试，贝叶斯资产定价模型。

2.2 文献回顾（Literature Review）

• 研究基于文本情感分析对金融市场的预测能力的文献脉络展开，涵盖早期管理层讨论与分析（MD&A）情绪、IPO文件及网络论坛情绪对股价和交易量的影响。

- 介绍doc2vec模型及相关研究，指出其对语义理解优于词频统计算法的优势，并引用Adosoglou等（2021）运用10-K文件的semantics similarity方法预测未来风险的研究。

• 综述网络风险与股价关系的相关研究，提及Jamilov等（2023）、Florackis等（2023）、Celeny与Maréchal（2023）分别采用字典法和doc2vec方法对网络风险量化，均确认网络风险在资产定价中的作用。

- 研究承接并深化文献中对网络风险细分的测量和风险溢价的探索。

2.3 数据与方法（Data and Methodology）

2.3.1 数据来源与样本描述

• 股票数据源自WRDS，包括CRSP和Compustat数据库，覆盖7079家存续期内提交10-K企业，数据时段2007-2023年。按Fama-French 12产业分类，行业分布详见图1，金融（18.9%）、商业设备（12.6%）、其他（37.4%）为主。

- 获取了数万个10-K文本文件（共64,988份，平均每家公司2.73份）如图2所示，企业10-K报告数量逐年增长。

• 金融因子如市场收益、Tbill率及Fama-French等因子从Kenneth French数据库获取。

2.3.2 网络威胁知识库与文本处理

• MITRE ATT&CK提供网络攻击的战术（14类）、技术与子技术层级结构，覆盖785个细分子技术（见图3，表2示例）。

- 文本预处理采用BeautifulSoup提取，去标点、小写化、分句、去停用词及最常用词过滤，段落长度均衡至约40词，平均每份10-K约640段落。

2.3.3 Doc2vec模型与相似度计算

• 使用Le和Mikolov（2014）提出的doc2vec模型，将段落转换为固定维度向量，计算10-K文本段落与MITRE ATT&CK子技术描述之间的cosine similarity（余弦相似度）。

- 采用两种模型训练方式（DM和DBOW）。

2.3.4 网络风险聚类方法

• 为避免过于细化的14战术分数相互高度相关，采用三种聚类方法（K-Means、Louvain社区检测、谱聚类）对785子技术向量相似度矩阵进行分组。

- 自定义衡量聚类结果的两指标：子聚类异质性（Entropy）及聚类均衡度（Balanced score）辅助选择最佳聚类方案。

• 最终确定Louvain聚类方案划分为四个“超战术集”（super tactics）：

- Preparation and Reconnaissance（准备与侦察）
- Persistence and Evasion（持续性与规避）
- Credential Movement（凭证移动）
- Command and Data Manipulation（指挥与数据操作）

2.3.5 网络风险评分体系构建

• 对每个10-K段落与同一超战术下的MITRE ATT&CK子段落向量余弦相似度取最大值，并计算全段落中最大相似度的前99%平均值，定义对应子战术的子网络风险分数。

- 综合所有14战术的得分计算整体网络风险分数。另外，基于风险与不确定性词表（Hassan et al., 2019），开发“网络情感分数”以定向含风险词汇的网络风险表达。

2.3.6 资产定价检验设计

• 单变量排序：按最新已知的季度网络风险得分，将公司分成五个分位，构建市值加权投资组合，观察平均超额收益随网络风险变化的关系。

- 双变量排序：控制传统特点变量（规模、市净率、Beta），先按其分位排序再按网络风险排序，构造25个投资组合以甄别网络风险分数与其他因子可能的代理效应。

• 横截面回归（Fama-MacBeth 1973）：利用两个滚动窗口回归估计个股风险暴露，回归股票组合收益，检验网络风险因子风险溢价显著性。

- 时间序列检验（GRS测试，Bayesian GRS）：检验添加网络风险因子后，Fama-French五因子模型对多资产组合收益解释力提升情况，及网络风险因子的相对定价能力。

---

3. 重要图表和图形解析

图1：行业分布

• 显示覆盖样本公司按Fama-French 12个行业分类的比例，"其他"占据最大（37.4%），其次是金融18.9%、商业设备12.6%。

- 反映样本具备较广泛行业代表性，关键行业通常也是网络风险较为显著的领域（如商业设备、通信）。

图2：10-K数量变化

• 2007至2023年公司提交10-K表数量逐年上升，尤其2021年明显增长，反映报告样本规模扩大及企业披露意识增强。

图4：Doc2vec训练示意

• 通过示意图展示doc2vec两模型（DM与DBOW）如何将段落转向量，DM侧重上下文单词和段落共同预测缺失词，DBOW单独通过段落向量逆向预测词汇。

- 该训练使得语义相似段落在向量空间中更为接近。

图5-8：聚类结果可视与指标对比

• K-Means给出了初步分簇方案，但聚类异质性高（Entropy较大），显示战术段落较分散。

- Louvain聚类显著提升了聚类的内聚度和对战术的切分准确性，个别战术完全集中于单一聚类。

• 谱聚类作为补充，与Louvain拟合较好，关键超战术清晰。

- 图8中，平衡得分（Balanced score）与熵指标权衡，Louvain聚类在无超参数调优的情况下表现优异。

表3与图9-12：网络风险评分统计与时间趋势

• 网络风险分数在区间内较为集中，整体得分和四个超战术均呈逐年上升趋势，表明企业在10-K中逐渐披露更多与网络风险相关的信息。

- 网络情感分数组成分布差异较大，且其最高的第99百分位得分明显高于其他分数，意味潜在信息筛选效果。

图13：各网络风险评分间相关性热力图

• 除网络情感评分外，各评分相关性较高（大多>0.8），表明大部分评分反映相似的网络风险特征。

- 网络情感评分与其他评分弱相关（≈0.5），支持其信息内容可能不同。

表4-9与图14-15：网络风险评分与财务特征关系

• 线性回归显示网络风险分数与诸多财务指标相关性弱，尤其是“秘密”变量和人工资本比率“humans per cap”表现出明显负向相关，暗示高科技密集企业可能涉及更高网络风险并披露相应风险。

- 控制行业后，通信和商业设备行业网络风险分数最高，符合实际网络风险暴露逻辑。

表10-15：单变量排序投资组合表现

• 除网络情感评分外，其他网络风险评分构建的投资组合收益呈明显递增趋势，头部组合（最高网络风险）显著超额收益，表现统计高度显著（1%水平）。

- 控制CAPM、Fama-French和FF5因子后，高风险组合仍保有统计显著正alpha，支持网络风险分数与风险溢价的内在联系。

• 网络情感评分投资组合虽出现统计显著超额收益，但不具单调性，显示其可能未真实反映市场预期风险。

表16：双排序投资组合收益

• 控制规模、账面市值和市场Beta后，各网络风险分组仍显示大致单调递增超额收益，且显著，排除网络风险评分为其他变量代理的可能性。

- “Preparation and Reconnaissance”超战术网络风险在多项排序中未表现单调趋势，暗示该类别风险市场认知或定价有限。

表17-22：Fama-MacBeth回归

• 网络风险评分（除情感分数外）在横截面回归中均表现为正显著的风险溢价，且尽管组合构建中存在部分与投资因子的共线性问题（例如CMA），风险溢价持续存在。

- 网络情感评分因子未表现出显著风险溢价。

表23-28：GRS测试

-纳入网络风险长短组合因子后，组合收益的alpha统计显著降低，模型整体拟合优度\( R^2 \)提升，确认网络风险因子的定价能力。

• 除规模排序组合以外，网络风险因子增加对大多数排序组合均产生正贡献。

图16-21：Bayesian资产定价测试

• Bayesian GRS模型进一步支持网络风险因子（除情感分数）在资产定价中的重要性，且随着时间推移其相关性和定价能力不断增强。

- 表明市场信息逐步吸收网络风险信息，网络风险已成为较为成熟的定价因子。

表29-32与图22-24：事件研究与细分评分对比

• SolarWinds 2020年12月重大网络攻击事件——市场对基于不同网络风险分数构建的投资组合无显著异动，累计异常收益无统计学显著性。

- 事件日与前后数日，P5组合表现受影响不一，可能因行业集中度低及样本广泛性导致相互抵消。

• 不同网络风险评分构建的投资组合表现高度一致，强化市场将网络风险视为一个整体风险因素的结论。

- 该事件结果与部分先前研究（如Florackis et al., 2023）存在显著差异，提示不同模型和方法对网络风险及其市场效应的捕捉存在差异。

---

4. 估值分析

• 报告主要基于多因素资产定价模型分析，不直接开展公司估值，但通过风险溢价测算和因子测试定量网络风险对股票收益的影响。

- 使用Fama-French多因子模型（含CAPM、FFC四因子及FF5五因子）控制已知风险后，网络风险因子仍显示出显著正alpha，显示网络风险是价格中包含的新风险因子。

• Bayesian模型进一步识别最优因子集，并支持包含网络风险因子的因子组合优于不包含的组合。

- GRS和Bayesian GRS测试强化网络风险因子的模型增益及其可靠性的证据。

---

5. 风险因素评估

• 网络风险因子存在一定共线性，尤其与投资因子（CMA）可能出现一定冗余，降低部分回归结果的显著性，需后续设计更完善的因子设计和辨识。

- 数据覆盖范围广泛，但具体高影响网络事件对整体市场资产组合影响有限，表明网络领域风险可能分散或存在短期信息滞后。

• 事件分析未能验证市场对特定网络安全事件的即时反应，暗示网络风险定价可能更偏长期、隐性风险溢价而非短时冲击。

- 由于不同网络威胁类型相关性高，市场认知难以区分单独风险类别，呈现为综合网络风险。

• 该归纳可能限制细粒度风险管理和应对策略的市场激励效果。

---

6. 批判性视角与细微差别

• 虽然采用了先进的NLP技术与聚类算法，报告对模型参数选择依赖前人研究（Celeny和Maréchal，2023），部分方法参数未详尽阐明，潜藏模型调整与结果稳定性风险。

- 聚类方法虽较为科学，但最终仍依赖专家主观修正以保持ATT&CK结构一致性，说明非完全自动化，较主观。

• 网络情感分数性能较差，暗示风险词汇筛选方法尚需改进。

- 事件研究因样本偏杂及事件影响局限，结果无统计显著，提示单一案例分析的局限性。

• 网络风险因子在某些控制变量中表现出一定共线性，未来研究需更细致识别因子独立性。

- 报告对网络风险市场认知的假设未充分验证因果机制，尤其未区分信息披露渠道多样性带来的异质性影响。

---

7. 结论性综合

本报告创新性地使用机器学习和自然语言处理技术，将复杂多样的网络威胁通过MITRE ATT&CK框架进行结构化分类和量化评分。基于超过7000家美国上市公司的长期10-K文本数据，构建四类主要网络威胁超战术得分，并开发了综合及情感导向的网络风险分数。

通过多种资产定价检验，作者系统验证了网络风险评分与股票超额收益之间的正相关关系，网络风险因子带有统计显著的正风险溢价，不依赖传统财务变量和其他风险因子完全解释。Bayesian资产定价方法则进一步证实网络风险因子在最佳因子组合中的重要性，且市场对网络风险的关注程度和定价能力呈时间递增趋势。

市场对网络威胁类型的区分较弱，投资组合收益间差异不显著，网络风险或被视为单一整体风险因素。这一点在事件研究中得到体现，SolarWinds网络事件未引发网络风险评分组合的系统显著反应。产业分布分析显示，网络风险集中于技术需求高的行业，如商业设备和通讯传输领域。

图表分析洞察：

• 图9-12反映网络风险分数逐年上升趋势，识别出不同威胁类别的演变规律。

- 热力图（图13）展示评分间高度相关，进一步佐证市场对威胁的整体看法。

• 投资组合表现（表10-15）表明多种网络风险分参与定价，尤其是综合得分与指挥数据操作类型的风险。

- 多维聚类分析（图5-8）揭示合理子分类结构，促进因子构建。

报告总体立场明确，认可网络风险作为新兴但关键的资产定价因子，建议关注高网络风险评分组（P5）作为未来研究及投资的重点。网络情感分数表现不佳，体现文本情感分析在风险识别需更精细处理。作者建议后续研究深化对网络风险细分的市场认知和因果机制挖掘。

---

参考标记

上述所有分析均基于报告正文内容，相关页码标注详见正文引用页码，例如：[page::1], [page::10], [page::22], [page::30], [...][page::34][page::45][page::60]等。

---

总评

本研究在网络安全风险资产定价领域实现了重要方法论突破，结合机器学习、自然语言处理及前沿金融计量方法，提供了结构化、多维度的网络风险评级体系和对应风险溢价实证。研究设计严谨，数据覆盖全面，方法与实证深度均属领先水平，对市场如何感知和定价网络风险提供了系统性洞察，兼具理论和实务价值。未来，结合更精细的事件研究、行业异质性分析及跨市场对比，或可进一步完善网络风险的投资价值评估框架。

报告